Ochrona danych osobowych w administracji publicznej
Download
Report
Transcript Ochrona danych osobowych w administracji publicznej
Dr Małgorzata Ganczar
OCHRONA DANYCH OSOBOWYCH W
ADMINISTRACJI PUBLICZNEJ
Dane osobowe wrażliwe
pojęcie "dane osobowe" nie ma
jednorodnego charakteru. Wyróżniono
bowiem dane o szczególnym charakterze,
tzw. dane wrażliwe (delikatne,
sensytywne), przeciwstawiane niekiedy
tzw. danym zwykłym (pospolitym), po to,
aby w odniesieniu do danych wrażliwych
wprowadzić bardziej intensywną ochronę, a
przetwarzanie poddać odrębnym zasadom.
Dane osobowe wrażliwe
Za dane tego rodzaju ustawa uznaje dane dotyczące:
• a) pochodzenia rasowego lub etnicznego,
• b) poglądów politycznych,
• c) przekonań religijnych lub filozoficznych (odnosi się to także do postawy
ateistycznej lub agnostycznej, kategoria ta nie obejmuje natomiast zasad
moralnych),
• d) przynależności wyznaniowej, partyjnej lub związkowej (także fakt
nieprzynależności i wystąpienia z organizacji),
• e) stanu zdrowia,
• f) kodu genetycznego,
• g) nałogów (w tym poddania się leczeniu odwykowemu lub przerwania go,
uczestniczenia w grupach i organizacjach stawiających sobie za cel walkę z
uzależnieniami),
• h) życia seksualnego,
• i) skazań, orzeczeń o ukaraniu, mandatów karnych oraz innych orzeczeń
wydanych w postępowaniu sądowym lub administracyjnym.
Dane osobowe wrażliwe
Kryterium wyróżnienia powyższych danych stanowi to,
iż dotyczą one bezpośrednio sfer należących do
prywatności czy nawet intymności osoby fizycznej. W
pozostałych przypadkach (a więc przy danych zwykłych,
danych neutralnych, danych trywialnych) ingerencja w
obszar prywatności bądź w ogóle nie zachodzi, bądź jeśli nawet występuje - to wynika nie tyle z samej treści
danych, ile raczej z ich zestawienia, kontekstu. Poza tym
dane wrażliwe, w przeciwieństwie do pozostałych, wiążą
się ze znacznie większym poczuciem zagrożenia oraz
niebezpieczeństwem wywołania na różnych polach
(zatrudnienie, ubezpieczenie, kredytowanie itd.) decyzji
dyskryminacyjnych.
Dane osobowe wrażliwe
Przedstawione wyliczenie danych wrażliwych, z ustawy, ma charakter
taksatywny. Dlatego nie istnieje możliwość poszerzenia go o dalsze
kategorie danych, nawet gdyby wydawało się to uzasadnione, jak choćby w
przypadku danych dotyczących adopcji.
Nie zmienia to faktu, iż w niektórych przypadkach powstawać mogą
niejasności, czy dana informacja, którą da się powiązać z określoną osobą,
ujawnia np. jej przekonania religijne lub polityczne bądź pozwala zorientować
się o pochodzeniu rasowym lub etnicznym.
Bardzo ogólną, szeroką kategorią są "dane o stanie zdrowia". I tu pojawiać się
mogą wątpliwości, czy pewne wiadomości (np. o tym, iż ktoś używa
okularów) powinny być poddane wzmożonej ochronie jako dane wrażliwe.
Podobnie odnieść się można do informacji, że określona osoba pali fajkę lub
papierosy, choć mamy tu do czynienia z nałogiem.
Dane wrażliwe – zasady przetwarzania
Przepis art. 27 ust. 1 u.o.d.o. wprowadza
zasadę zakazu przetwarzania danych
wrażliwych, i to bez względu na to, czy
przetwarzanie ma następować w formie
zautomatyzowanej czy tradycyjnej
(manualnej). Postanowienia zezwalające na
przetwarzanie takich danych mają zatem
charakter przepisów wyjątkowych i w
żadnej mierze nie mogą podlegać wykładni
rozszerzającej.
Dane wrażliwe – zasady przetwarzania
Od zasady, że przetwarzanie danych wrażliwych jest
zakazane, ustawa wprowadza wiele wyjątków ujętych w
zamknięty katalog (art. 27 ust. 2)
Gdy ustawa dopuszcza przetwarzanie danych sensytywnych,
należy przy ich przekazywaniu czy innym udostępnianiu
zaznaczać, iż chodzi o tego rodzaju dane - bądź wprost, bądź
nawet przez adnotację "poufne".
dla przetwarzania danych wrażliwych przyjęte zostały
częściowo odmienne od ogólnych - podanych w art. 23 "kryteria legalizacyjne", kryteria zaostrzone.
Dane wrażliwe – zasady przetwarzania
Pierwszym i zasadniczym, warunkiem dopuszczającym
przetwarzanie danych osobowych, jest to, że osoba,
której dane dotyczą, wyrazi na to zgodę na piśmie.
Pisemna zgoda nie jest potrzebna jedynie przy
usuwaniu danych wrażliwych.
Zgoda wyrażona w sposób inny niż na piśmie jest
nieskuteczna; udzielenie jej może mieć jednak
znaczenie przy stosowaniu przepisów karnych ustawy.
Dane wrażliwe – zasady przetwarzania
Drugą okoliczność legalizującą przetwarzanie wrażliwych
danych osobowych stanowi zezwalający odpowiedni
przepis szczególny innej ustawy.
Chodzi tu zatem wyłącznie o przepis zawarty w źródle
prawa o randze ustawy. Przesłankę tę ustawodawca
opatruje jednak zastrzeżeniem, iż przepis ten musi
stwarzać pełne gwarancje ochrony tych danych. Trudno
nie dostrzec, że ocena, czy dany przepis (lub szerzej, dana
regulacja) ten warunek spełnia, może w konkretnych
przypadkach być przedmiotem dyskusji i sporów.
Dane wrażliwe – zasady przetwarzania
Przetwarzanie danych wrażliwych dozwolone jest
także o tyle, o ile jest niezbędne ze względu na
ochronę żywotnych interesów osoby, której dane
dotyczą, lub innej osoby, jeśli ta nie jest fizycznie
lub prawnie zdolna do wyrażenia zgody.
W świetle art. 27 ust. 2 pkt 3 u.o.d.o. spełnione
muszą być łącznie trzy warunki:
Dane wrażliwe – zasady przetwarzania
a) przetwarzanie danych
musi mieć na celu
ochronę żywotnych
interesów osoby, której
dane dotyczą, lub osoby
trzeciej; ustawa nie
definiuje pojęcia "żywotne
interesy", trzeba tu
przyjmować wąską
interpretację tych
interesów, ograniczoną w
zasadzie do
podstawowych wartości,
takich jak życie, zdrowie,
bezpieczeństwo osobiste;
do kategorii tej nie można
zatem zaliczać interesów
majątkowych, a także
niektórych interesów
osobistych (prawo do
wizerunku, prawo do
dobrej sławy);
przetwarzanie danych
powinno być niezbędne
do ochrony
wymienionych
interesów; np. konieczne
może być w określonym
przypadku powiadomienie
o chorobie innej osoby po
to, aby powiadomiona
osoba mogła uniknąć
zakażenia lub poddać się
szczepieniu;
c) osoba, której dane
dotyczą, musi być
niezdolna, z przyczyn
fizycznych lub prawnych,
do wyrażenia zgody na
przetwarzanie danych;
fizyczną niezdolnością do
wyrażenia zgody jest np.
brak możliwości
skontaktowania się z daną
osobą, z kolei za
niezdolność prawną
należy traktować
małoletniość danej osoby;
natomiast do żadnego z
tych przejawów
niezdolności nie można
zaliczyć - jak się zaznacza
w literaturze prawniczej ustawowego lub
umownego obowiązku
dochowania tajemnicy.
Dane wrażliwe – zasady przetwarzania
W związku z wykonywaniem swych zadań statutowych uprawnione do przetwarzania w
niezbędnym zakresie określonych sensytywnych danych osobowych są organizacje
nienastawione na osiąganie korzyści majątkowych (ustawa stosuje określenie
"organizacje niezarobkowe"), których działalność jest ukierunkowana na osiągnięcie
celów politycznych, naukowych, religijnych, filozoficznych lub związkowych.
Chodzi tu o kościoły i związki wyznaniowe, różnego rodzaju organizacje,
stowarzyszenia, fundacje oraz instytucje. Ich prawny status czy charakter nie jest istotny.
Podstawowe natomiast znaczenie ma to, czy są to organizacje nastawione na osiąganie
korzyści majątkowych. To, czy przynoszą one zysk, jest sprawą drugorzędną.
Wyliczeniem tym nie są objęte - choć nie wydaje się to w pełni uzasadnione - amatorskie
kluby i towarzystwa sportowe (posiadające dane o stanie zdrowia swych członków) czy
różnego rodzaju kluby dyskusyjne albo kluby zainteresowań, w których dyspozycji mogą
się znaleźć informacje o przekonaniach i poglądach ich członków.
Dane wrażliwe – zasady przetwarzania
Odrębnie ujęto upoważnienie do przetwarzania wrażliwych danych
osobowych w postępowaniu sądowym. Nie można sprzeciwić się
przetwarzaniu takich danych (najczęściej chodzi o ich udostępnianie),
jeśli jest to niezbędne do dochodzenia praw przed sądem. Ochrona
danych osobowych, w tym powołanie się na zakaz przetwarzania
danych wrażliwych z art. 27 ust. 1 u.o.d.o., nie może zatem być
przeszkodą do prawidłowego rozstrzygnięcia sprawy przez sąd.
W przepisie tym ustawodawca posługuje się ogólnym zwrotem
mówiącym o dochodzeniu praw "przed sądem", które obejmuje sądy
karne, cywilne, administracyjne oraz zastępujące je z woli stron - sądy
polubowne. Poza zakresem komentowanego upoważnienia pozostają
wszelkie postępowania prowadzone przed organami
administracyjnymi, przed komornikiem oraz - naszym zdaniem przed rozmaitymi quasi-sądami (sądami koleżeńskimi itp.).
Dane wrażliwe – zasady przetwarzania
Odrębną kategorię tworzy upoważnienie do
przetwarzania danych związane z zatrudnieniem.
Na jego podstawie administrator danych
zatrudniający inne osoby może przetwarzać takie
dane sensytywne, które są mu niezbędne do
wykonywania zadań odnoszących się do
zatrudnienia, do wykonywania swych praw i
obowiązków wynikających z faktu zatrudniania
innych osób, a mających swe źródło w przepisach
prawa (głównie prawa pracy), umowie zbiorowej czy
umowie indywidualnej. Zakres przetwarzania danych
musi być jednak określony w ustawie.
Dane wrażliwe – zasady przetwarzania
Przetwarzanie danych jest ponadto dopuszczalne, jeżeli:
• przetwarzanie jest prowadzone w celu ochrony stanu zdrowia,
świadczenia usług medycznych lub leczenia pacjentów przez osoby
trudniące się zawodowo leczeniem lub świadczeniem innych usług
medycznych, zarządzania udzielaniem usług medycznych i są
stworzone pełne gwarancje ochrony danych osobowych,
• przetwarzanie dotyczy danych, które zostały podane do wiadomości
publicznej przez osobę, której dane dotyczą,
• jest to niezbędne do prowadzenia badań naukowych, w tym do
przygotowania rozprawy wymaganej do uzyskania dyplomu
ukończenia szkoły wyższej lub stopnia naukowego; publikowanie
wyników badań naukowych nie może następować w sposób
umożliwiający identyfikację osób, których dane zostały przetworzone,
• przetwarzanie danych jest prowadzone przez stronę w celu realizacji
praw i obowiązków wynikających z orzeczenia wydanego w
postępowaniu sądowym lub administracyjnym.